Saldırıların çoğu Kasım 2022’de ABD’de gerçekleşti, ancak Avusturya, Polonya ve Türkiye’deki bazı kuruluşlar da hedef alındı.
Bitdefender Labs, saldırganların şirket içi hedefleme yapmak için iki istismar zincirini kötüye kullandığı yeni bir hedefsiz siber saldırı dalgası hakkındaki bulgularını paylaştı. MS Exchange sunucuları.
Bulguların İncelenmesi
Bitdefender, Kasım 2022’nin sonunda, şu şekilde tanımlanan iki istismar zincirinden yararlanan saldırılarda bir artış olduğunu kaydetti: ProxyNotShell ve MS Exchange sunucularını hedeflemek için OWASSRF. Araştırmacılar, siber suçluların şirket içi Exchange sunucuları 2013, 2016 ve 2019’dan yararlanmayı tercih ettiğini tespit etti.
Güvenlik açıkları açıklandı
Saldırganlar, MS Exchange sunucularına yönelik yeni saldırılarında iki taktik kullanıyor. İlki, halihazırda ifşa edilmiş iki güvenlik açığının birleşimi olan ProxyNotShell güvenlik açığıdır. CVE-2022-41082 ve CVE-2022-41080. Tehdit aktörlerinin savunmasız sunucuda kimlik doğrulaması yapmasını gerektirir; bu güvenlik açığı Kasım 2022’de yamalandı.
OWASSRF, bu saldırı zincirinde yararlanılan diğer güvenlik açığıdır. Bu istismar, aynı iki güvenlik açığını farklı bir şekilde kullanır. ProxyNotShell azaltma çözümlerini atlayabilir; Aralık 2022’deki Rackspace saldırısında kullanıldı.
Saldırı Ayrıntıları
Teknik olarak, saldırı denir sunucu tarafı istek sahteciliği/SSRF. Tehdit aktörlerinin, savunmasız sunucudaki kaynaklara erişmek ve kötü amaçlı hedeflerini gerçekleştirmek için savunmasız bir sunucudan başka bir sunucuya özel hazırlanmış bir istek göndermesine olanak tanır.
İki güvenlik açığının kullanılması, saldırganın uzaktan kod yürütme oturum açma kimlik bilgilerine sahiplerse. Herhangi bir hesap kullanılabileceğinden, istenen eylemleri gerçekleştirmek için yönetici olmaları gerekmez.
Microsoft yamalı 30 Eylül ve 8 Kasım 2022’de bu güvenlik açıkları. Bu, yalnızca sistemlerini henüz düzeltmemiş şirketlerin risk altında olduğu anlamına gelir. Bitdefender’a göre saldırıların çoğu Blog yazısıKasım 2022’de ABD’de meydana geldi ancak Avusturya, Polonya ve Türkiye’deki bazı kuruluşlar da hedef alındı.
Saldırganlar, hukuk ve aracı kurumlar, emlak, danışmanlık firmaları ve toptancılar dahil olmak üzere çeşitli sektörlerden şirketleri hedef alıyor. Şimdiye kadar dünya çapında 100.000’den fazla kuruluş SSRF saldırılarının hedefi oldu.
SSRF Saldırısı nedir?
SSRF saldırıları siber suçlular arasında giderek daha popüler hale geliyor çünkü bir web uygulaması SSRF’ye karşı savunmasızsa, saldırgan savunmasız sunucudan başka şekilde erişemeyeceği herhangi bir yerel ağ kaynağına istek gönderebilir. Aksi takdirde saldırgan, savunmasız sunucu adına belirli eylemleri gerçekleştirmesi için harici bir sunucuya, örneğin bir bulut platformuna bir istek gönderir.